客户案例

某电厂项目案例(工控网络和信息安全防护)

项目背景

据权威工业安全事件信息库RISI统计,全球已发生几百起针对工控系统攻击事件。随着通用开发标准与互联网技术的广泛使用,使针对工业控制系统(ICS)的病毒、木马等攻击行为大幅度增长,结果导致整体控制系统的故障,甚至恶性安全事故,对人员、设备和环境造成严重影响。 我国发电厂已经对DCS/PLC/SIS等生产控制系统都有了一定安全投入,但随着计算机和网络技术的发展,特别是信息化与工业化深度融合以及无线网络的快速发展,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式实现网络互连互通,高度信息化的同时也减弱了控制系统等与外界的隔离,病毒、木马等威胁正在向工业控制系统扩散,我国发电机组发生过病毒感染的严重异常事件。

项目内容

电厂工控网络和信息安全防护体系建设是根据“纵深防御”这一总的安全原则。不仅加固管理大区信息安全防护手段,同时通过对工业控制系统进行安全区域划分,建立不同区域之间的数据通讯管道,对管道数据进行全面的分析与管控。中央管理与控制平台必须使企业管理者能够总揽全局,时刻了解工业控制系统网络安全的状况,指导企业建立合理的安全策略,规范安全管理流程,建立工业控制系统网络安全的“纵深防御”体系。 在本电厂中建立“纵深防御”体系如下图所示:

Web应用安全防护

通过多种机制的分析检测,能够有效的阻断攻击,保证Web应用合法流量的正常传输,这对于保障业务系统的运行连续性和完整性有着极为重要的意义。同时,针对当前的热点问题,优化最佳安全-成本平衡点,有效降低安全风险。

数据库安全防护设计

通过应用层访问和数据库操作请求进行多层业务关联审计,实现访问者信息的完全追溯,使管理人员对用户的行为一目了然,真正做到数据库操作行为可监控,违规操作可追溯。通过解析和分析数据库操作行为,自动建立数据库访问行为基线,并依据行为基线自动智能识别可疑行为进行告警。

APT攻击预警防护设计

通过全方位多角度的异常网络行为的检测与分析,对攻击事件进行完整的分析,并进行拦截和阻断攻击行为。对于发现的执行恶意样本而发起的网络连接请求或潜伏的木马外联网络通讯,进行有效的拦截与阻断,并能及时更新拦截规则,实现对APT攻击行为的有效防御。

生产控制网络安全防护设计

部署工控安全监测审计平台,识别网络中所有通信行为,对网络攻击、畸形报文、异常操作、非法设备接入以及蠕虫、病毒等恶意软件的传播并实时报警和详实记录,便于安全事件的事后审计。平台能够建立工控系统正常运行情况下的基线模型,对于出现的偏差行为进行检测并集成网络告警信息,使用户在了解网络拓扑的同时获知网络告警分布,从而帮助用户实时掌握工业控制系统的运行情况。

电厂新安全统一管理的设计

通过构建工控安全大数据中心,将所有的安全类、泛安全类的数据统计收集和处理,既满足大数据智能平台的计算资源需求,同时又多维度分析安全事件。让一线管理生产的工作人员能实时把握信息安全的态势情报,从整体上动态反映网络安全状况,还可查看告警威胁事件的详细信息,同时支持自定义告警策略,设置告警范围和阀值等策略。

全厂安全威胁感知和统一管理提高网络的监控能力,也提高了对数据的综合分析能力,能够有效降低误报率和漏报率,提高系统检测效率,减少反应时间。实现了从全网的整体安全威胁感知,到信息资产以及安全数据的检测,进行全方位安全统一管理。

项目价值

·加固管理大区信息安全防护>>>在信息大区部署安全防护产品,对Web攻击及APT攻击进行过滤和预警

·实现生产大区工控安全防护>>>在生产大区部署工控安全防护产品,提高工控系统在边界隔离、入侵检测及安全审计等方面的防护能力

·实现全厂安全信息运营>>>在四区部署企业安全感知中心,收集部署在生产大区及管理大区安全设备提供的安全数据,其中生产区的安全数据通过单向隔离装置导出,保障生产大区的物理隔离

·企业安全感知中心为本方案中的工业控制系统信息安全的中央管理与控制平台,实现对工业控制系统及设备、安全设备等的监控